Кража лобстеров, открытые пароли и полное молчание. Рассказываем, как уязвимость в софте Bluspark поставила под удар мировые перевозки

За последний год специалисты по кибербезопасности всё чаще выражают беспокойство из-за того, каким уязвимым оказался мировой рынок грузоперевозок. Хакеры всё активнее вмешиваются в логистические цепочки, перенаправляя грузы в руки преступных группировок. Речь идёт не о виртуальных атаках ради эксперимента, а о вполне реальных кражах, за которыми стоят организованные банды. Где-то пропадает фура с электронными сигаретами, где-то расследуется подозрительная кража партии лобстеров.

На этом фоне всплыла история американской компании Bluspark Global, которая разрабатывает программное обеспечение для управления поставками и перевозками. Фирма из Нью-Йорка не слишком известна широкой публике, но её платформа Bluvoyix используется сотнями крупных компаний по всему миру. Через этот софт проходят данные о перевозках розничных сетей, продуктовых магазинов, производителей мебели и других бизнесов, а также партнёров, связанных с самой Bluspark.

Как выяснилось, в течение месяцев система компании оставалась фактически открытой для любого пользователя интернета. Исследователь по безопасности Итон Звир ещё осенью 2025 года обнаружил сразу несколько критических уязвимостей, которые позволяли без какой-либо авторизации получать доступ к конфиденциальным данным клиентов, включая историю перевозок за десятилетия. Среди проблем были пароли сотрудников и клиентов, хранившиеся в открытом виде, и API, который позволял удалённо взаимодействовать с платформой без проверки учётных данных.

По словам исследователя, самой сложной частью оказалась не находка ошибок, а попытка сообщить о них компании. У Bluspark не оказалось понятного канала для связи по вопросам безопасности. Звир обращался к профильной некоммерческой организации Maritime Hacking Village, писал письма, оставлял голосовые сообщения и сообщения в LinkedIn, но ответа не получал неделями, пока уязвимости оставались активными.

В итоге Звир совместно со специалистами TechCrunch попытался связаться с руководством Bluspark и даже с одним из её клиентов, публичной американской розничной компанией, но безрезультатно. Ответ последовал лишь после того, как в письме генеральному директору был приведён фрагмент его пароля в качестве наглядного доказательства серьёзности проблемы. После этого на связь вышла юридическая фирма, представляющая интересы Bluspark.

Исследователь рассказал, что уязвимости он нашёл, анализируя сайт одного из клиентов компании. Обычная форма обратной связи отправляла данные через серверы Bluspark, а код обработки писем был встроен прямо в страницу. Это позволяло злоумышленнику изменить его и рассылать фишинговые письма от имени реального клиента. Более того, открытая документация API позволяла выполнять команды, получать списки пользователей и даже создавать новые учётные записи с правами администратора без пароля.

Получив такой доступ, потенциальный злоумышленник мог видеть данные клиентов как минимум с 2007 года. При этом система токенов, которая должна была ограничивать доступ, фактически не работала, так как запросы принимались и без неё.

После вмешательства юристов Bluspark заявила, что все выявленные проблемы устранены. Компания закрыла пять уязвимостей и начала процесс привлечения сторонней фирмы для независимой оценки безопасности. Представитель Bluspark сообщил, что у компании нет признаков того, что кто-либо воспользовался этими ошибками для вмешательства в поставки клиентов, хотя подробностей и доказательств приведено не было.

Также в Bluspark пообещали запустить программу ответственного раскрытия уязвимостей, чтобы исследователи могли напрямую сообщать о найденных проблемах. Пока обсуждение этой инициативы продолжается. Генеральный директор компании от комментариев отказался.

История Bluspark наглядно показывает, насколько опасным может быть сочетание простых технических ошибок и отсутствия коммуникации. В мире, где кибератаки всё чаще приводят к реальным кражам и финансовым потерям, такие уязвимости становятся удобным инструментом не только для хакеров, но и для преступных группировок.